حمله سایبری به سازمان‌های حساس در گرجستان و مولداوی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این گروه از اواخر سال ۲۰۲۴ فعال بوده و حملات جاسوسی علیه نهادهای قضایی و دولتی در گرجستان و همچنین یک شرکت توزیع انرژی در مولداوی انجام داده است.

شرکت امنیت سایبری بیت دیفندر (Bitdefender) که مطالعه‌ای درباره این کارزار منتشر کرده، این گروه را کرلی کامریدز (Curly COMrades) نامیده است؛ نامی برگرفته از ابزارهایی که در حملات به‌کار گرفته شده‌اند.

به گفته این شرکت، این گروه سازمان‌های حیاتی در کشورهایی را هدف گرفته که با تحولات ژئوپلیتیکی مهم مواجه‌اند و عملیات آن‌ها با اهداف ژئوپلیتیکی دولت روسیه هم‌راستا است.

به گفته بیت دیفندر، هدف این گروه دستیابی به دسترسی بلندمدت به شبکه‌های هدف و سرقت اطلاعات کاربری معتبر بوده که امکان حرکت درون شبکه و جمع‌آوری و انتقال داده‌ها را برای آن‌ها فراهم می‌کرد.

در گزارش آمده است:

کارزار مورد بررسی نشان‌دهنده یک عامل تهدید بسیار پایدار و سازگار است که طیف گسترده‌ای از تکنیک‌های شناخته‌شده و سفارشی را برای ایجاد و حفظ دسترسی بلندمدت در محیط‌های هدف به‌کار می‌گیرد. فعالیت‌های استخراج داده به‌طور عمدی پراکنده و به‌صورت دستی انجام می‌شد تا هشدارها فعال نشوند. فایل‌های مورد نظر، از جمله اطلاعات کاربری، داده‌های دامنه و اطلاعات برنامه‌های داخلی در مسیرهای عمومی روی دستگاه قربانی ذخیره و سپس بایگانی و به سرورهای تحت کنترل مهاجمان منتقل می‌شد.

این گروه بارها تلاش کرده‌اند تا پایگاه‌های داده حاوی گذرواژه‌ها و داده‌های احراز هویت را استخراج کنند.

همچنین از ابزارهای پروکسی برای ایجاد مسیرهای متعدد به شبکه‌های داخلی بهره برده‌اند.

بیت دیفندر همچنین دریافت که هکرها از وب‌سایت‌های مشروع اما به خطر افتاده به‌عنوان رله ترافیک استفاده کرده‌اند؛ اقدامی که باعث می‌شود ترافیک مخرب با فعالیت‌های عادی شبکه ترکیب شود و شناسایی یا انتساب آن برای مدافعان دشوار گردد.

در گزارش توضیح داده شده است:

با هدایت فرمان و کنترل (C2) و استخراج داده‌ها از طریق سایت‌های ظاهراً بی‌خطر، آن‌ها از سد دفاع‌هایی که به دامنه‌های شناخته‌شده اعتماد دارند عبور کرده و زیرساخت واقعی خود را پنهان می‌کنند. احتمالاً آنچه مشاهده کرده‌ایم تنها بخش کوچکی از یک شبکه بسیار بزرگ‌تر از زیرساخت‌های وب آلوده تحت کنترل آن‌هاست.

پژوهشگران اظهار کردند که به‌دنبال نقاط مشترک با دیگر گروه‌های شناخته‌شده گشتند، اما تنها شباهت‌های جزئی یافتند.

مارتین زوگچ، مدیر راهکارهای فنی در بیت دیفندر، تاکید کرد که این کارزار به دلیل استفاده مهاجمان از تکنیک‌های هوشمندانه برای حفظ دسترسی به سیستم‌ها توجه آن‌ها را جلب کرده است.

هکرها از ابزاری استفاده کردند که به‌طور پیش‌فرض روی سیستم‌عامل ویندوز نصب است و آن را با یک وظیفه زمان‌بندی‌شده مرتبط کردند؛ وظیفه‌ای که سیستم‌عامل گهگاه در زمان‌های غیرقابل پیش‌بینی مانند هنگام بیکاری سیستم یا استقرار برنامه‌های جدید اجرا می‌کند.

زوگچ به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفت:

هنگامی که وظیفه زمان‌بندی‌شده اجرا می‌شود، ربوده شده و به یک بدافزار هدایت می‌گردد که راهی پنهان برای بازیابی دسترسی ایجاد می‌کند.

هکرها همچنین از بدافزار جدید و پیچیده‌ای به نام موکور ایجنت (MucorAgent) استفاده کردند که روی چندین سیستم در یکی از سازمان‌های هدف کشف شد.

به گفته پژوهشگران، طراحی این بدافزار نشان می‌دهد اجرای آن قرار بوده به صورت دوره‌ای انجام شود؛ احتمالاً برای جمع‌آوری و استخراج داده‌ها.

آن‌ها به‌شدت به ابزارهای عمومی در دسترس، پروژه‌های متن‌باز و موارد مشابه متکی بودند که نشان‌دهنده ترجیح برای مخفی‌کاری، انعطاف‌پذیری و حداقل شناسایی، به‌جای بهره‌گیری از آسیب‌پذیری‌های جدید است.